Функциите за защита предпазват от заплахи, включително заплахи за идентичността на телефона и за данните. Тези функции установяват и поддържат удостоверени комуникационни потоци между телефона и Cisco Unified Communications Manager server и гарантират, че телефонът използва само цифрово подписани файлове.

Cisco Unified Communications Manager версия 8.5 (1) и по-нова включва защита по подразбиране, която предоставя следните функции за защита за Cisco IP телефоните без изпълнение на CTL клиент:

• Подписване на конфигурационните файлове на телефона

• Шифроване на конфигурационните файлове на телефона

• HTTPS с Tomcat и други уеб услуги

Внедряването на защита в системата на Cisco Unified Communications Manager предотвратява кражбата на идентичност на телефона и на Cisco Unified Communications Manager server, предотвратява подправянето на данни и предотвратява сигнализирането на повиквания и подправянето на медийния поток.

За да облекчи тези заплахи, мрежата за Cisco IP телефония установява и поддържа сигурни (шифровани) комуникационни потоци между телефона и сървъра, цифрово подписва файлове, преди да бъдат прехвърлени на даден телефон, и шифрова медийните потоци и сигнализацията на повиквания между Cisco IP телефоните.

На телефоните се инсталира местно приложим сертификат (LSC), след като изпълните необходимите задачи, свързани с прокси функцията на органа за сертификати (CAPF). Можете да използвате Cisco Unified Communications Manager Administration, за да конфигурирате LSC, както е описано в ръководството за защита на Cisco Unified Communications Manager. Алтернативно, можете да започнете инсталирането на LSC от менюто за настройки за сигурност на телефона. Това меню също ви позволява да актуализирате или премахвате LSC.

Телефоните използват профила за защита на телефона, който определя дали устройството е незащитено, или защитено. За информация относно прилагането на профила на защитата към телефона вижте документацията за вашата конкретна версия на Cisco Unified Communications Manager.

Ако конфигурирате настройки, свързани със защитата, в Cisco Unified Communications Manager Administration, конфигурационният файл на телефона съдържа поверителна информация. За да гарантирате поверителността на даден конфигурационен файл, трябва да го конфигурирате за шифроване. За подробна информация вижте документацията за вашата конкретна версия на Cisco Unified Communications Manager.

Телефонът отговаря на Федералния стандарт за обработка на информация (FIPS). За да функционира правилно, FIPS режимът изисква размер на ключа от 2048 бита или по-голям. Ако сертификатът е по-малък от 2048 бита, телефонът няма да се регистрира в Cisco Unified Communications Manager и на телефона се показва Телефонът не успя да се регистрира. Размерът на ключа сертификата не е съвместим с FIPS.

Ако телефонът има LSC, трябва да актуализирате размера на ключа LSC до 2048 бита или повече, преди да активирате FIPS.

Следващата таблица предоставя общ преглед на функциите за защита, които телефоните поддържат. За повече информация вижте документацията за вашата конкретна версия на Cisco Unified Communications Manager.

За да видите режима за сигурност, натиснете Настройки и навигиране до настройките за мрежа и услуги >сигурност.

Следващата таблица съдържа алармените съобщения и значението на актуализирането на надеждния списък. За повече информация вижте документацията на Cisco Unified Communications Manager.

Менюто за настройка на защитата предоставя информация за различните настройки за защита. Менюто също така предоставя достъп до менюто на надеждния списък и показва дали CTL или ITL файлът е инсталиран на телефона.

Следващата таблица описва опциите в менюто за настройка на защитата.

Cisco IP телефоните поддържат удостоверяване съгласно 802.1X.

Cisco IP телефоните и превключвателите на Cisco Catalyst традиционно използват Cisco Discovery Protocol (CDP), за да се идентифицират взаимно и да определят параметри като разпределение на VLAN и изисквания за вградена мощност. CDP не идентифицира локално прикрепени работни станции. Cisco IP телефоните осигуряват механизъм за преминаване през EAPOL. Този механизъм позволява на работна станция, прикрепена към Cisco IP телефон, да предава съобщения на EAPOL към 802.1X удостоверителя при LAN превключвателя. Механизмът за преминаване гарантира, че IP телефонът не действа като LAN превключвател, за да удостовери крайно устройство за данните преди достъп до мрежата.

Cisco IP телефоните също така предоставят прокси механизъм EAPOL Logoff. Ако локално свързаният компютър се изключи от IP телефона, LAN превключвателят не вижда, че физическата връзка се е провалила, защото връзката между LAN превключвателя и IP телефона се поддържа. За да се избегне компрометиране на целостта на мрежата, IP телефонът изпраща съобщение EAPOL-Logoff до превключвателя от името на компютъра надолу по веригата, което кара LAN превключвателя да изчисти записа за удостоверяване за компютъра надолу по веригата.

Поддръжката за удостоверяване съгласно 802.1X изисква няколко компонента:

• Cisco IP телефон: телефонът инициира искането за достъп до мрежата. Cisco IP телефоните съдържат 802.1X заявител. Този заявител позволява на мрежовите администратори да контролират свързаността на IP телефоните към портовете за превключватели на LAN. Текущата версия на 802.1X заявителя на телефона използва опциите за EAP-FAST и EAP-TLS за удостоверяване на мрежата.

• Сървър за автентикация: Сървърът за автентикация и суичът трябва да са конфигурирани с обща тайна, която удостоверява телефона.

• Превключвател: превключвателят трябва да поддържа 802.1X, така че да може да действа като удостоверител и да предава съобщенията между телефона и сървъра за удостоверяване. След като обменът приключи, превключвателят предоставя или отказва достъп на телефона до мрежата.

Трябва да изпълните следните действия, за да конфигурирате 802.1X.

• Конфигурирайте другите компоненти, преди да активирате удостоверяване съгласно 802.1X на телефона.

• Конфигуриране на компютърен порт: стандартът 802.1X не взема предвид VLAN и затова препоръчва само едно устройство да бъде удостоверено към конкретен порт за превключвател. Някои превключватели обаче поддържат удостоверяване на много домейни. Конфигурацията на превключвателя определя дали можете да свържете компютър към компютърния порт на телефона.

  • Активирано: ако използвате превключвател, който поддържа удостоверяване за много домейни, можете да активирате компютърния порт и да свържете компютър към него. В този случай Cisco IP телефоните поддържат прокси EAPOL-Logoff, за да следят обмена на удостоверяване между превключвателя и свързания компютър.

    За повече информация относно поддръжката на IEEE 802.1X на превключвателите на Cisco Catalyst вижте наръчниците за конфигурация на превключвателя на Cisco Catalyst на адрес:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Деактивирано: ако превключвателят не поддържа няколко устройства, съвместими с 802.1X, на един и същ порт, трябва да деактивирате компютърния порт, когато е активирано удостоверяване съгласно 802.1X. Ако не деактивирате този порт и след това се опитате да прикачите компютър към него, превключвателят отказва мрежов достъп както до телефона, така и до компютъра.

• Конфигуриране на гласов VLAN: тъй като стандартът 802.1X не отчита VLAN, трябва да конфигурирате тази настройка въз основа на поддръжката на превключвателя.
  • Активирано: ако използвате превключвател, който поддържа удостоверяване на няколко домейна, можете да продължите да използвате гласовия VLAN.
  • Деактивирано: ако превключвателят не поддържа удостоверяване на множество домейни, деактивирайте гласовия VLAN и помислете за задаване на порта към присъщия VLAN.
• (Само за Cisco Настолен телефон 9800 серия)

  Cisco Desk Phone Series 9800 има различен префикс в PID от този за другите Cisco телефони. За да позволите на телефона си да премине 802.1X автентикация, задайте Radius· Параметър за потребителско име, който да включва вашия Cisco Desk Phone 9800 Series.

  Например, PID на телефон 9841 е DP-9841; можеш да зададеш Radius· Потребителско име, което започва с DP или съдържа DP. Можете да го зададете и в двете от следните секции:

  • Политика > Условия > Библиотечни условия

  • Политики>Набори от политики> Политика за упълномощаване> Правило 1 за упълномощаване

Когато се прилага защита за телефон, можете да идентифицирате защитени телефонни повиквания с помощта на икони на екрана на телефона. Можете също да определите дали свързаният телефон е защитен и предпазен, ако в началото на повикването се възпроизведе тон за защита.

При защитено повикване всички сигнални и медийни потоци са шифровани. Защитеното повикване предлага високо ниво на защита, осигурявайки цялост и поверителност на повикването. Когато обаждането е криптирано, можете да видите иконата за сигурност На линия. За защитен телефон можете също да видите иконата за автентикация или криптираната икона до свързания сървър в телефонното меню (Настройки > За това устройство).

При защитено повикване в началото на разговора се възпроизвежда тон за защита, който показва, че другият свързан телефон също получава и предава защитено аудио. Ако повикването ви се свърже с незащитен телефон, тонът за защита не се възпроизвежда.

Когато телефонът е конфигуриран като сигурен (криптиран и доверен) в Cisco Unified Communications Manager, може да му се даде Защитени статус. След това, ако желаете, защитеният телефон може да бъде конфигуриран да възпроизвежда тон за индикация в началото на повикване:

• Защитено устройство: за да промените състоянието на сигурен телефон на защитен, поставете отметка в полето за защитено устройство в прозореца за конфигуриране на телефона в Cisco Unified Communications Manager Administration (Устройство > Телефон).

• Възпроизвеждане на тон за индикация на защита: за да позволите на защитения телефон да възпроизвежда тон за индикация на защитено или незащитено състояние, задайте настройката „Възпроизвеждане на тон за индикация на защита“ на True. По подразбиране възпроизвеждането на тон за индикация на защита е зададено на False. Задайте тази опция в Cisco Unified Communications Manager Administration (Система > Параметри на услугата). Изберете сървъра и след това услугата Unified Communications Manager. В прозореца за конфигуриране на параметър на услуга изберете опцията в зоната „Функция – Защитен тон“. Настройката по подразбиране е False.

Тъй като всички WLAN устройства, които са в обхват, могат да получават всякакъв друг WLAN трафик, защитата на гласови комуникации е от решаващо значение в WLAN. За да се гарантира, че нарушителите не манипулират или прихващат гласов трафик, архитектурата Cisco SAFE Security поддържа телефона. За повече информация относно защитата в мрежите вижте http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Телефонното решение Cisco Wireless IP осигурява безжична мрежова сигурност, която предотвратява неоторизирани влизания и компрометирани комуникации, като използва следните методи за автентикация, които телефонът поддържа:

• Отворено удостоверяване: всяко безжично устройство може да поиска удостоверяване в отворена система. Точката за достъп, който получи искането, може да предостави удостоверяване на всеки заявител или само на заявители, които се намират в списък с потребители. Комуникацията между безжичното устройство и точката за достъп (AP) може да бъде некриптирана.

• Разширен протокол за автентикация – гъвкава автентикация чрез сигурно тунелиране (EAP-FAST): Тази клиент-сървър архитектура за сигурност криптира EAP транзакции в тунел за сигурност на транспортно ниво (TLS) между AP и RADIUS сървъра, като например Identity Services Engine (ISE).

  Тунелът TLS използва идентификационни данни за защитен достъп (PAC) за удостоверяване между клиента (телефона) и сървъра RADIUS. Сървърът изпраща ИД на органа (AID) на клиента (телефон), който от своя страна избира подходящия PAC. Клиентът (телефонът) връща PAC-Opaque на сървъра RADIUS. Сървърът декриптира PAC с основния ключ. И двете крайни устройства сега съдържат ключа PAC и се създава тунел TLS. EAP-FAST поддържа автоматично осигуряване на PAC, но трябва да го активирате на сървъра RADIUS.

  В ISE по подразбиране PAC изтича след една седмица. Ако телефонът има изтекъл PAC, удостоверяването със сървъра RADIUS отнема повече време, докато телефонът получава нов PAC. За да избегнете закъснения при осигуряването на PAC, задайте периода на изтичане на PAC на 90 дни или повече на сървъра ISE или RADIUS.

• Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) Authentication: EAP-TLS изисква клиентски сертификат за удостоверяване и достъп до мрежата. За безжична EAP-TLS клиентският сертификат може да бъде MIC, LSC, или потребителски инсталиран сертификат.

• Protected Extensible Authentication Protocol (PEAP): собствена схема на Cisco за взаимно удостоверяване, базирано на парола, между клиента (телефон) и RADIUS сървър. Телефонът може да използва PEAP за удостоверяване с безжичната мрежа. Поддържат се както методите за удостоверяване PEAP-MSCHAPV2, така и PEAP-GTC.

• Предварително споделен ключ (PSK): Телефонът поддържа формат ASCII. Трябва да използвате този формат при настройване на WPA/WPA2/SAE предварително споделен ключ:

  ASCII: низ с ASCII знаци с дължина от 8 до 63 знака (0 – 9, малки и главни букви A – Z и специални знаци)

  Пример: GREG123567@9ZX&W

Следните схеми за удостоверяване използват сървъра RADIUS за управление на ключовете за удостоверяване:

• WPA/WPA2/WPA3: Използва информация от RADIUS сървъра за генериране на уникални ключове за удостоверяване. Тъй като тези ключове се генерират на централизирания RADIUS сървър, WPA2/WPA3 осигурява по-голяма сигурност от предварително споделените ключове на WPA, които се съхраняват на AP и телефона.

• Бърз защитен роуминг: използва RADIUS сървър и информация за безжичен домейн сървър (WDS) за управление и удостоверяване на ключове. WDS създава кеш с идентификационни данни за сигурност за клиентски устройства с FT за бърза и сигурна повторна автентикация. Cisco Настолни телефони 9861 и 9871 и Cisco Видео телефон 8875 поддържат 802.11r (FT). Поддържат се както по въздуха, така и над DS, за да се осигури бърз и сигурен роуминг. Но ние силно препоръчваме да използвате метода 802.11r (FT) по въздуха.

При WPA/WPA2/WPA3 ключовете за криптиране не се въвеждат на телефона, а автоматично се извеждат между точката за достъп и телефона. Но потребителското име и паролата на EAP, които се използват за удостоверяване, трябва да бъдат въведени на всеки телефон.

За да се гарантира, че гласовият трафик е сигурен, телефонът поддържа TKIP и AES за криптиране. Когато тези механизми се използват за криптиране, както сигналните SIP пакети, така и гласовите пакети от Real-Time Transport Protocol (RTP) се криптират между AP и телефона.

TKIP

WPA използва TKIP криптиране, което има няколко подобрения спрямо WEP. TKIP осигурява шифриране на ключове на пакет и по-дълги вектори за инициализация (IV), които засилват шифроването. Освен това проверката за цялост на съобщението (MIC) гарантира, че шифрованите пакети не се променят. TKIP премахва предвидимостта на WEP, която помага на нарушителите да дешифрират WEP ключа.

AES

Метод за криптиране, използван за удостоверяване на WPA2/WPA3. Този национален стандарт за шифроване използва симетричен алгоритъм, който има същия ключ за шифроване и дешифроване. AES използва шифроване на верига за блокиране на шифър (CBC) с размер 128 бита, което поддържа ключови размери от 128 бита, 192 бита и 256 бита, като минимум. Телефонът поддържа размер на ключа от 256 бита.

Схеми за удостоверяване и шифроване са настроени в безжичния LAN. VLAN мрежите се конфигурират в мрежата и на AP и определят различни комбинации от удостоверяване и шифроване. SSID се свързва с VLAN и конкретната схема за удостоверяване и шифроване. За да могат безжичните клиентски устройства да се удостоверят успешно, трябва да конфигурирате същите SSID-та с техните схеми за удостоверяване и криптиране на AP-тата и на телефона.

Някои схеми за удостоверяване изискват специфични типове шифроване.

Схемите за удостоверяване и криптиране в следващата таблица показват опциите за конфигурация на мрежата на телефона, които съответстват на конфигурацията на AP.

Assured Services SIP(AS-SIP) е колекция от функции и протоколи, които предлагат изключително сигурен поток от обаждания за Cisco IP Phones и трети страни. Следните характеристики са колективно известни като AS-SIP:

• Многостепенно предимство и преемпция (MLPP)
• Диференцирани услуги за кодова точка (DSCP)
• Сигурност на транспортния слой (TLS) и Сигурен протокол за реално време за транспорт (SRTP)
• Интернет протокол версия 6 (IPv6)

AS-SIP често се използва с Многостепенно предимство и Преемпция (MLPP) за приоритизиране на обажданията по време на спешен случай. С MLPP задаваш приоритетно ниво на изходящите си обаждания, от ниво 1 (ниско) до ниво 5 (високо). Когато получите обаждане, на телефона се показва икона за приоритет на обаждането.

За да конфигурирате AS-SIP, изпълнете следните задачи на Cisco Unified Communications Manager:

• Конфигурирайте потребител на дайджест — Конфигурирайте крайния потребител да използва digest автентикация за SIP заявки.
• Конфигурирайте SIP Phone Secure Port—Cisco Unified Communications Manager използва този порт, за да слуша SIP телефони за SIP регистрация на линии над TLS.
• Рестартиране на услуги—След конфигуриране на защитения порт, рестартирайте услугите Cisco Unified Communications Manager и Cisco CTL Provider. Конфигурирайте SIP профил за AS-SIP-Конфигурирайте SIP профил с SIP настройки за вашите AS-SIP крайни точки и SIP trunks. Параметрите, специфични за телефона, не се изтеглят на трети телефон AS-SIP. Те се използват само от мениджъра Cisco Unified. Телефоните на трети страни трябва локално да конфигурират същите настройки.
• Конфигурирайте Phone Security Profile за AS-SIP — Можете да използвате профила за сигурност на телефона, за да зададете настройки за сигурност като TLS, SRTP, и да обработите автентикацията.
• Конфигурирайте AS-SIP Endpoint—Конфигурирайте Cisco IP Phone или трета страна с поддръжка AS-SIP.
• Свържете устройството с краен потребител — Свържете крайната точка с потребител.
• Конфигурирайте SIP Trunk Security Profile за AS-SIP—Можете да използвате профила за сигурност SIP trunk, за да зададете функции за сигурност като TLS или да използвате digest authentication към SIP trunk.
• Конфигурирайте SIP Trunk за AS-SIP—Конфигурирайте SIP trunk с поддръжка AS-SIP.
• Конфигурирайте AS-SIP Features—Конфигурирайте допълнителни AS-SIP функции като MLPP, TLS, V.150 и IPv6.

За подробна информация относно конфигурирането на AS-SIP, вижте главата "Конфигуриране AS-SIP крайни точки" в Ръководство за конфигурация на функции за Cisco Unified Communications Manager.

Когато кодовете за принудително упълномощаване (FAC) или кодовете за клиентски въпроси (CMC), или и двете, са конфигурирани на телефона, потребителите трябва да въведат необходимите пароли, за да наберат номер.

За повече информация как да настроите FAC и CMC в Cisco Unified Communications Manager, вижте главата "Кодове за клиентска материя и кодове за принудително упълномощяване" в Ръководство за конфигурация на функции за Cisco Unified Communications Manager, издание 12.5 (1) или по-късно.

Функцията Cisco VPN ви помага да запазите мрежовата сигурност, като същевременно предоставя на потребителите безопасен и надежден начин за свързване с корпоративната ви мрежа. Използвайте тази функция, когато:

• Телефонът се намира извън доверена мрежа
• Мрежовият трафик между телефона и Cisco Unified Communications Manager преминава през недоверена мрежа

При VPN има три често срещани подхода към удостоверяване на клиенти:

• Дигитални сертификати
• Пароли
• Потребителско име и парола

Всеки метод има своите предимства. Но ако вашата корпоративна политика за сигурност го позволява, препоръчваме подход, базиран на сертификати, защото сертификатите позволяват безпроблемно влизане без никаква намеса на потребителя. Поддържат се и сертификатите LSC, и MIC.

За да конфигурирате някоя от функциите VPN, първо настроете устройството локално, а след това можете да го разположите извън мястото.

За повече информация относно сертификационната автентикация и работата с VPN мрежа, вижте Конфигуриране AnyConnect VPN Телефон с сертификатна автентикация на ASA.

При подход с парола или потребителско име и парола, потребителят се иска да въведе данни за вход. Настройте потребителските данни за вход в съответствие с вашата корпоративна политика за сигурност. Можете също да конфигурирате настройката Enable Password Persistence, така че паролата на потребителя да се запазва на телефона. Паролата на потребителя се запазва, докато не се случи неуспешен опит за вход, потребител не изчисти паролата ръчно, или телефонът се рестартира или загуби захранването.

Друг полезен инструмент е настройката Enable Auto Network Detect. Когато активирате тази отметка, клиентът VPN може да работи само когато установи, че е извън корпоративната мрежа. Тази настройка е деактивирана по подразбиране.

Вашият Cisco телефон поддържа Cisco SVC IPPhone Client v1.0 като тип клиент.

За повече информация как да конфигурирате VPN на Unified CM, вижте Ръководство за конфигурация на функции за Cisco Unified Communications Manager.

Функцията Cisco VPN използва Secure Sockets Layer (SSL), за да запази мрежовата сигурност.